日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
竊密惡意軟件通過仿冒盜版軟件下載網(wǎng)站進(jìn)行傳播

攻擊者正在針對尋求下載盜版軟件的用戶進(jìn)行攻擊,由于用戶自己知道獲取與使用盜版軟件是違法的,許多下載盜版軟件的用戶都不會對下載來源進(jìn)行安全審查,這些用戶最終可能會付出更大的代價。

創(chuàng)新互聯(lián)建站主營西峽網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,app軟件開發(fā)公司,西峽h5小程序定制開發(fā)搭建,西峽網(wǎng)站營銷推廣歡迎西峽等地區(qū)企業(yè)咨詢

介紹

自從 Napster 在互聯(lián)網(wǎng)上發(fā)布盜版已經(jīng)有二十余年,海盜灣種子下載站出現(xiàn)也近十年。盡管許多國家都針對此發(fā)布了相關(guān)的法律與禁令,但是盜版依舊屢禁不止,許多人都會下載與使用?;ヂ?lián)網(wǎng)上也有很多宣傳破解軟件的的廣告,出現(xiàn)在 Google 的搜索結(jié)果與網(wǎng)站的廣告位中。

Google 搜索結(jié)果中的仿冒盜版下載網(wǎng)站

安全研究人員最近發(fā)現(xiàn)了通過仿冒盜版軟件下載網(wǎng)站進(jìn)行惡意軟件傳播的攻擊行動。如上所示,Google 的搜索結(jié)果中就包含此類虛假網(wǎng)站,這些網(wǎng)站看起來與真正的盜版下載網(wǎng)站差不多。

案例一分析

階段一:重定向分發(fā)

用戶訪問仿冒盜版下載網(wǎng)站時,會被多次重定向到最終部署惡意軟件的網(wǎng)站,多次重定向則是為了規(guī)避搜索引擎和其他掃描程序的檢測。如下所示,此類重定向在正常網(wǎng)站上可能會引起受害者的警覺,但是在盜版下載網(wǎng)站上,受害者可能會認(rèn)為這是網(wǎng)站運行的正常方式。

多次重定向

如下所示,惡意文件都部署在開放目錄中,其中包含 3000 余個偽裝成常見破解軟件的惡意 ZIP 壓縮文件,用戶下載的文件通常是一個小于 10MB 的 ZIP 壓縮文件。

開放目錄

分發(fā)方式也并不單一,攻擊者會還使用 Mediafire 與 Discord 等受信任的公共網(wǎng)站部署惡意軟件。

釣魚網(wǎng)站

階段二:Loader

下載的壓縮文件中包含一個受密碼加密的 ZIP 壓縮文件和另一個偽裝成包含密碼的文本文件。

壓縮文件與密碼

加密的 ZIP 文件中還包含一個名為 setup.zip 的文件,大小為 1.3MB。提取壓縮文件會出現(xiàn)一個 0x20 與 0x00 字節(jié)填充的可執(zhí)行文件,大小超過 600MB,如下所示:

填充文件

研究人員認(rèn)為填充字節(jié)只是為了逃避檢測,該樣本還具備反虛擬機(jī)與反調(diào)試功能。刪除無關(guān)字節(jié)后,樣本大小從 600MB 下降到 78KB,如下所示。

實際大小

文件被執(zhí)行,就會生成一個被編碼的 PowerShell 命令,解碼后為 (Start-Sleep-s10;Remove-Item-Path"C:\Users\User\Desktop\Setupfinal.exe"-Force)?。連接遠(yuǎn)程服務(wù)器,下載名為 windows.decoder.manager.form.fallout15_Uwifqzjw.jpg的文件,如下所示:

下載文件

下載文件

下載的文件看起來是加密的,但實際上只是倒序存儲。將其翻轉(zhuǎn)過來可以發(fā)現(xiàn),這是一個 DLL 文件。

階段三:RedLine Stealer

DLL 為一個 RedLine 竊密惡意軟件,會竊取受害者的隱私信息,例如瀏覽器歷史記錄。

案例二分析

研究人員還發(fā)現(xiàn)仿冒盜版下載網(wǎng)站還分發(fā) RecordBreaker 竊密惡意軟件,樣本文件通過 Themida、VMprotect 和 MPRESS 等進(jìn)行加殼,如下所示。

加殼文件

攻擊者常常使用加殼來躲避檢測,并且在殼中融合反虛擬機(jī)與反調(diào)試技術(shù),如下所示。

反調(diào)試技術(shù)

反調(diào)試技術(shù)

反調(diào)試技術(shù)

關(guān)閉安全軟件的提示

樣本與 C&C 服務(wù)器通信,并回傳機(jī)器 ID 與配置 ID:

C&C 通信

通過瀏覽器竊取的信息包括 MetaMask、TronLink、BinanceChain、Ronin、MetaMask、MetaX、XDEFI、WavesKeeper、Solflare、Rabby、CyanoWallet、Coinbase、AuroWallet、KHC、TezBox、Coin98、Temple、 ICONex、Sollet、CloverWallet、PolymeshWallet、NeoLine、Keplr、TerraStation、Liquality、SaturnWallet、GuildWallet、Phantom、TronLink、Brave、MetaMask、Ronin、MEW_CX、TON、Goby 和 TON。

收集到的失陷主機(jī)上的相關(guān)信息回傳給 C&C 服務(wù)器:

竊密信息

惡意軟件還能夠?qū)⑵聊唤貓D回傳給攻擊者,如下所示:

發(fā)送屏幕截圖

RecordBreaker 收集用戶的 Cookie 也會回傳給 C&C 服務(wù)器,如下所示:

竊取瀏覽器 Cookie

結(jié)論

攻擊者通過盜版軟件的渠道分發(fā)惡意軟件,竊取受害者的信息進(jìn)行獲利。用戶能夠通過使用合法網(wǎng)站下載的正版軟件來規(guī)避此類,由于非法行為造成的感染。


文章標(biāo)題:竊密惡意軟件通過仿冒盜版軟件下載網(wǎng)站進(jìn)行傳播
轉(zhuǎn)載注明:http://www.dlmjj.cn/article/coggidh.html